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Prufungsantrag gem. § 44 PatG ist gesteilt 

(g) Verfahren zur Nutzeridentifikation und -authentifikation bei Datenfunkverbindungen, zugehorige Chipkarten 
und Endgerate 

@ Beschrieben wird ein Verfahren zur Nutzeridentifikation 
bei Datenfunk-Verbindungen, wobei die 2ur Nutzeridentifika- 
tion erforderlichen Daten auf einem gesonderten Datentra- 
ger getrennt von einem Endgerat abgelegt werden. Die 
Nutzeridentifikation wird durch Kommunikation zwischen 
Datentrager und Endgerat durchgefuhrt. 
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Die vorliegende Erfindung beschaftigt sich mit einem 
Verfahren zur Nutzeridentifikation und -authentifika- 
tion bei Datenfunk-Verbindungen sowie mit den zuge- 
horigen Einrichtungen, insbesondere mit Chipkarten 
und Endgeraten. 

Datenfunk-Verbindungen unterscheiden sich grund- 
legend von GSM (Global System for Mobile Commun- 
ication) das bereits seit langerem in Betrieb ist. GSM 
stellt einem gemeinsamen Standard bereit und erlaubt 
daher die Verwendung eines Endgerates in unterschied- 
lichen Netzen. 

Ein wesentlicher Unterschied zwischen Datenfunk 
und GSM besteht in der Art der Verbindung wahrend 
der Dateniibertragung. So wird bei GSM stets die Ver- 
bindung zu dem Gesprachspartner aufrechterhalten, 
auch wenn keine Daten ubermittelt werden. Dies ist bei 
Datenfunk nicht der Fall. Hier werden die Daten in 
Form von Datenpaketen ubertragen; nur fiir den Zeit- 
raum dieser Obertragung existiert eine gebiihrenpflich- 
tige Verbindung. 

Ein weiterer Unterschied liegt in der Art der ubermit- 
telten Daten und den Gesprachspartnern. GSM wird 
fast ausschlieBlich zur Obertragung von Sprache ver- 
wendet, wahrend Datenfunk nicht fiir die Obertragung 
von Sprache konzipiert ist, sondern fiir die Kommunika- 
tion zwischen Endgeraten, also typischerweise zwischen 
zwei Rechnereinheiten. 

Die Identitat des Benutzers wird bei GSM iiber eine 
personenbezogene Karte uberpruft und sichergestellt 
Hierbei werden zu Datenpriifung verschiedene Infor- 
mationen an eine Feststelle bzw. einen Zentralrechner 
ubertragen. Dieser nimmt die Oberprufung der Daten 
vor und bestatigt die Kompetenz des Benutzers bzw. 
verweigert die Nutzung. 

Demgegenuber ist bei Datenfunk ein benutzerspezifi- 
sches Endgerat vorgesehen. Die identifizierenden Daten 
werden wahrend der Produktion beim Endgerateher- 
steller eingebracht und sind danach nicht oder nur in 
einem sicherheitskritischen Vorgang unter Verwendung 
spezieller Programmierwerkzeuge veranderbar. Im Fal- 
le eines Defekts und eines damit verbundenen Gerate- 
wechsels mussen die Rufnummer gewechselt und das 
Teilnehmerverzeichnis erneuert werden. Die temporare 
Verkniipfung eines Gerates mit verschiedenen Teilneh- 
mern ist nicht moglich. 

Die Verteilung der Teilnehmerverhaltnisse bzw. die 
Zuordnung der Rufnummern erfordert eine enge Ab- 
stimmung zwischen dem Betreiber eines Mobilfunknet- 
zes und den Endgerateherstellern. Insbesondere ent- 
zieht sich der sicherheitskritische Vorgang der Einbrin- 
gung der identifizierenden Daten in das Endgerat der 
KontroUe des Netzbetreibers. 

Zusatzlich entstehen logistische Probleme, da in der 
Regel die Rufnummern der Teilnehmer gebietsbezogen 
vergeben werden. Es muB also bereits bei der Herstel- 
lung bzw. Fertigsteliung und Auslieferung eines Endge- 
rates bekannt sein, in welchem Gebiet der Benutzer das 
Gerat betreiben mdchte. 

Eine einfache Obertragung des Identifikationssy- 
stems. das bei GSM genutzt wird. ist nicht moglich. Bei 
Datenfunk-Netzen ist eine Zentraistelle zur Oberpru- 
fung der Teilnehmeridentitat nicht vorhanden und auch 
weder bei der bisherigen noch bei der erfindungsgema- 
Ben Struktur erforderlich. 

Aufgabe der vorliegenden Erfindung ist es daher, ein 
Verfahren sowie Einrichtungen zur Nutzeridentifika- 
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tion und -authentifikation bei Datenfunk bereit zustel- 
len, die eine endgerateunabhangige Identifizierung des 
Benutzers erlauben. 

ErfindungsgemaB wird diese Aufgabe durch die tech- 
nische Lehre von Anspruch 1 gelost. 

Wesentlich hierbei ist, daB eine Trennung der Nutzer- 
information vom Endgerat stattfindet und der Benutzer 
sowohl mit einem Endgerat ais auch mit einem Daten- 
trager, bevorzugt in Form einer Karte oder Chipkarte, 
ausgeriistet wird. Anders ausgedruckt wird das Endge- 
rat physikalisch und logisch in eine anonyme, unperson- 
liche Komponente und einen den Teilnehmer und des- 
sen besondere Merkmale identifizierenden Anteil, nam- 
lich die Karte, aufgeteilt 

Hierbei ist die Nutzeridentifikation auf der Karte ab- 
gelegt, und eine Oberprufung dieser Nutzeridentifika- 
tion erfolgt durch das Endgerat. Eine Kommunikation 
mit einer iibergeordneten Zentraistelle zur Nutzeriden- 
tifikation ist nicht erforderlich. 

Hierdurch werden mehrere Verbesserungen erzielt: 
Die Teilnehmeridentitat (und andere individuelle Daten) 
werden auf eine Chipkarte verlagert und somit das Sy- 
stem in ein anonymes Endgerat und eine personliche 
Chipkarte aufgeteilt. Diese kann dem Endgerat entnom- 
men werden und ist uneingeschrankt mobil. Das Teil- 
nehmerverhaltnis steht daher in beliebigen Endgeraten 
unverandert zur Verfugung. Ein einzelnes Gerat ist 
durch einfachen Wechsel der Karte von beliebig vielen 
Teilnehmern benutzbar. 

Die Programmierung der Teilnehmerverhaltnisse 
(Personalisierung) ist von den Endgerateherstellern un- 
abhangig und kann vom Netzbetreiber unter vollstandi- 
ger KontroUe selbst durchgefiihrt werden. Eine aufwen- 
dige Kontroile der Endgeratehersteller sowie die oben- 
erwahnte Logistik sind nicht erforderlich. 

In einer bevorzugten Ausfiihrungsform ist die Chip- 
karte als Mikroprozessor-Chipkarte ausgebildet. Die 
Karte ist dann flexibel als mobiler Datenspeicher ein- 
setzbar. Dies und die Moglichkeiten eines frei program- 
mierbaren Mikroprozessorsystems erlauben die Reali- 
sierung endgerateunabhangiger Sonder- und Komfort- 
funktionen. 

So ist es z. B. moglich, die Berechtigung zum Netzzu- 
gang und die Nutzeridentifikation anhand von Karte 
und Endgerat durchzufiihren, wahrend Anwendungen, 
die von Dritten im Netz angeboten werden, uber weite- 
re Identifikationsverfahren geschutzt werden konnen . . 
Diese Applikationen sind dann bevorzugt vom Netzbe- 
treiber unabhangig. der lediglich die Dienstleistung der 
Dateniibertragung zur Verfugung stellt 

So ergibt sich hier die Moglichkeit, die Chipkarte und 
die in der vorliegenden Erfindung bereitgestellten Kom- 
munikationsmechanismen zur Nutzeridentifizierung 
und -authentifikation gegeniiber der Applikation (als 
Zugangsberechtigung) zu nutzen. 

Im folgenden wird die Erfindung in Zusammenhang 
mit dem Mobilfunksystem Modacom naher beschrie- 
ben. Genaue Informationen hinsichtlich des Aufbaus 
dieses Systems sind bei der Anmelderin erhaltlich. 
Selbstverstandlich ist der Grundgedanke der Erfindung 
bei beliebigen Datenfunk-Netzen einsetzbar; die Erfin- 
dung ist nicht auf Modacom beschrankt. 

Die Motive fiir die Einfuhrung der Chipkarte in das 
Mobilfunksystem Modacom sind vielfaltig: 
Die zur Zeit unumgangliche Personalisierung der End- 
gerate mit alien ihren logistischen Nachteilen soil er- 
setzt werden durch eine zeitgemaBe Losung. Daneben 
erwartet man neue Komfortmerkmale. wie Mobilitat 
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des Teilnehmerverhaltnisses ohne Endgerat. einfachere 
Bereitstellung von anonymen Ersaizgeraten, sowie ggf. 
erhdhte Datensicherheit. 

Inhalt dieser Anmeldung ist ein Konzept im Hinblick 
auf eine mogJiche Realisierung einer Chipkarte in Mo- 5 
dacom, ihre Architektur sowie die notwendigen Sicher- 
heitsfunktionen. 

Der Erfindungsgegenstand der vorliegenden Erfin- 
dung ergibt sich nicht nur aus dem Gegenstand der 
einzelnen Patentanspriiche, sondern auch aus der Kom- 10 
blnation der einzelnen Patentanspruche untereinander. 

Alle in den Unterlagen, einschlieBlich der Zusammen- 
fassung, offenbarten Angaben und Merkmale, insbeson- 
dere die in den Zeichnungen dargestellte raumliche 
Ausbildung werden als erfindungswesentlich bean- 15 
sprucht, soweit sie einzeln oder in Kombination gegen- 
uber dem Stand der Technik neu sind. 

Im folgenden wird die Erfindung anhand von lediglich 
einen Ausfuhrungsweg darstellenden Zeichnungen nS- 
her eriautert Hierbei gehen aus den Zeichnungen und 20 
ihrer Beschreibung weitere erfindungswesentliche 
Merkmale und Vorteile der Erfindung hervor. 
Dabei zeigt 

Fig. 1 die erfindungsgemaBe Aufteilung in Chipkarte 
und Endgerat; 25 

Fig. 2 unterschiedliche Ausfuhrungsformen der Chip- 
karten; 

Fig. 3 ein Beispiel fur die logische Struktur der Chip- 
karte; 

Fig. 4 schematisch ein Verfahren zur Authentifika- 30 
tion; 

Fig. 5 schematisch ein Verfahren zur Datenubertra- 
gung; 

Fig. 6 den Schliisselaustausch zwischen Chipkarte 
und Endgerat. 



sind: 

Modacom Teilnehmeridentifizierung und Ruf-Adresse 
LLI, Home-Node und eventuelle Gruppenzugehorjg- 
keiten, gekennzeichnet durch Group-IDs. Diese Daten 
werden in der Karte gespeichert und sind dort vor unau- 
torisierter Veranderung geschutzt. 

Zusatzlich liefert die Chipkarte 1 einen flexiblen. weil 
wahifrei beschreibbaren Datenspeicher, der sich zum 
Ablegen der verschiedensten Informationen eignet: Als 
Speicher fur netzrelevante Informationen (z. B. fiir aus- 
landische Netze), fur Endgerate-Konfigurationsdaten 
und auch fur Konfigurationsdaten der Applikation. Die- 
se Daten sind somit mobil und konnen an jedem vorhan- 
denen Modacom-Endgerat 2 genutzt und auch geandert 
oder erganzt werden. 

Im Mobilsystem ubernimmt die Karte 1 die Aufgabe 
eines Sicherheitsmodules: Die enthaltenen Daten sind 
vor unberechtigtem Zugriff zu schiitzen und im Zusam- 
menwirken mit dem Endgerat 2 sind Mechanismen zur 
sicheren Datenubertragung iiber die Kartenschnittstelle 
bereitzusteilen. Ein allgemeiner Zugriffsschutz wird 
durch die (abschaltbare) PIN-Prufung realisiert 

Das Modacom Endgerat 



Die Modacom Chipkarte im Systembezug 

Von der Einfiihrung der Chipkarte 1 sind allein die 
mobilen Systemkomponenten, d. h. das Modacom-End- 40 
gerat 2 mit der (evtl. PC-gestiitzten) Modacom Applika- 
tion 3, betroffen. Auswirkungen auf andere Systemkom- 
ponenten existieren nicht. 

Das bisherige Endgerat wird physikaJisch und logisch 
aufgetrennt in einen den Teilnehmer und dessen beson- 45 
dere Merkmale identifizierenden Anteil, die Chipkarte 
1, und eine anonyme, unpersonliche Komponente, das 
neue Endgerat 2. Diese Karte 1 kann dem Endgerat 2 
entnommen werden und ist in ihrer Mobilitat ebenso 
uneingeschrankt wie der Rest des Mobilsystems. Es ent- 50 
steht eine zusatzliche komplexe Schnittstelle. 

Die veranderte Konfiguration des Mobilsystems ( « 
Chipkarte 1 + Endgerat 2 + Applikation 3, siehe Fig. 1) 
bedingt eine Reihe neuer Anforderungen in einer gean- 
derten Aufgabenverteilung zwischen den beteiligten 55 
Komponenten. 



Das Modacom Endgerat 2 stellt die im Hinblick auf 
die Chipkarte 1 notwendigen Funktionen zur Verfii- 
gung. In der Zeit zwischen Aktivierung und Deaktivie- 
rung steuert es alle Zugriffe auf die Chipkarte. Es be- 
dient sich dazu des vorgegebenen Befehlssatzes und 
wertet die Antworten der Karte aus. Zur Unterstiitzung 
der Sicherheitsfunktionen speichert es die offentlichen 
Schlussel, generiert Zufallszahlen und fuhrt kryptogra- 
phische Algorithmen aus (siehe "Sicherheitsfunktio- 
nen"). 

Gesichert ubertragene Daten werden sicher abgelegt. 
Es liegt in der Verantwortung des Endgerates 2, das 
Sicherheitsniveau der Karte nicht zu beeintrachtigen. 

Das Endgerat 2 stellt einen bidirektionaien Kanal 
zwischen Karte 1 und Applikation 2 bereit. uber den die 
PIN-Funktionen (Priifen, Ein-/Ausschalten. Andern und 
Entsperren) sowie die applikationsseitige Nutzung des 
Kartenspeichers abgewickelt werden. 

Die Modacom Applikation 

Die Unterstiitzung bzw. Nutzung der Modacom 
Chipkarte 1 durch die Applikation 3 ist optional. Wenn 
fewunscht, steht der vom Endgerat 2 bereitgehaltene 
Ubertragungsweg zur Verfugung, urn die PIN-Funktio- 
nen zu unterstiitzen oder die Karte zur Speicherung von 
applikationsspezifischen Daten, z. B. Konfigurationsda- 
ten zu nutzen. Die Schnittstelle zwischen Applikation 3 
und Endgerat 2 ist ansonsten unbeeinfluBt 

Die Technik der Modacom Chipkarte 



Die Modacom Chipkarte 

Die Modacom Chipkarte 1 dient in der Hauptsache 
als mobiles Identifikationsmedium. Ein Teilnehmerver- 
haltnis ist an den Besitz der Karte gebunden und wird 
durch diese identifiziert und charakterisiert Die Karte 
tragt alle im Mobilsystem vorhandenen teilnehmerspe- 
zifischen Daten. Wird die Karte entnommen und in ein 
anderes Endgerat 2 eingesetzt, steht das Teilnehmerver- 
haltnis unverandert zur Verfiigung. 

In diesem Sinne relevante Daten (vgl. "Architektur") 



Die Modacom Chipkarte wird in Form einer ISO- 
Identifikationskarte mit integriertem Mikro-Controller 

60 und EEPROM Speicher realisiert 

Die grundlegenden Anforderungen an diese System- 
komponente, insbesondere im Hinblick auf die ge- 
wunschten Sicherheitsmerkmale, erlauben den Einsatz 
einfacherer Speichermedien. wie etwa einer Magnet- 

65 streifenkarte oder einer simplen Speicherkarte nicht, 
sondern erfordem den Einsatz echter Computerlei- 
stung. Zusatzlich wird der EEPROM Speicher fOr die 
Bewahrung veranderlicher Kartendaten vorausgesetzt. 
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Dieser EEPROM-Speicher kann vom Benutzer teil- 
weise selbst genutzt werden, z. B. zur Eingabe von Da- 
ten zur Verwendung in von Dritten im Netz bereitge- 
stellten Informationen. 

Es wird daher die Einfuhrung einer Kartentechnolo- 5 
gie vorgeschlagen. wie sie in GSM — bei vergleichba- 
rem Anforderungsprofil — mit Erfolg eingesetzt wird. 

Durch die weitestgehende Verwendung von interna- 
tional standardisierten Merkmalen (z. B. physikalische 
Schnittstellenparameter, ObertragungsprotokoH. etc.) 10 
wird einerseits die Kartenschnittstelle kompatibei zu 
bereits vorhandenen, beispielsweise bei DeTeMobil 
vorhandenen, administrativen Systemen (z. B. Personali- 
sierungszentrum fur SIMs — PCS oder Chipkarten 
Test- und Servicestation XI 3) gehaiten. andererseits 15 
den Herstellern von Modacom Endgeraten eine relativ 
einfache — weil standardisierte — Realisierung der 
Kartenschnittstelle ermoglicht Zusatzlich ergibt sich 
daraus eine prinzipielle Kompatibilitat mit anderen 
gleichartig standardisierten Chipkartenanwendungen. 20 

Die Modacom Chipkarte 1 kann gemaB Fig. 2 in zwei 
Oder mehr Formaten realisiert werden: Als Typ ISO 
ID-1, (NormalgroBe, entsprechend einer EC- oder Kre- 
ditkarte) gemaB den internationalen Standards ISO/IEC 
7810 und 78 1 6- 1 ,2 so wie, zur Unterstu tzung kleiner End- 25 
gerateabmessungen, als Typ CEN ID-000 (Plug-In Mo- 
dul, siehe GSM) entsprechend dem europaischen Stan- 
dard CEN ENV 1375-1. Aus Griinden der einfacheren 
Administration soUte jedoch ein einheitliches Format 
fiir alle Modacom Chipkarten zur Anwendung kommen. 30 

Die MaBangaben in Fig. 2 erfolgen in mm. 

Die Chipkarte 1 wird bevorzugt mit einem extern 
getakteten 8 bit Micro-Controller in CMOS-Technik 
mit integriertem Halbleiterspeicher, aufgeteilt in RAM, 
ROM, und EEPROM ausgerustet Zur zeitgerechten 35 
Unterstiitzung der geforderten, extrem rechenintensi- 
ven Sicherheitsfunktionen (RSA-Verfahren, vgl. "Si- 
cherheitsfunktionen") ist ein spezieller Co-Prozessor in- 
tegriert. Eine besondere Security- Logik kontroUiert alle 
Speicherzugriffe und stellt die Integritat der Chipkar- 40 
tendaten gemaB der definierten Zugriffsbedingungen si- 
cher. 

Der Chip kommuniziert mit der AuBenwelt iiber eine 
Schnittstelle gemaB dem internationalen Standard ISO/ 
lEC 7816-3. An Stellen. wo diese Spezifikation unklar 45 
Oder technisch iiberholt ist. werden geringe Modifika- 
tionen eingefiihrt, die aber in der Praxis keine Ein- 
schrankung der Kompatibilitat darsteilen und als Stand 
der Technik (z. B. in GSM) zu betrachten sind. 

Es wird das ebenfalls in ISO/IEC 7816-3 standard!- 50 
sierte ObertragungsprotokoUT^ 0 eingesetzt. 

Architektur 

Die Modacom Chipkarte erhalt eine hierarchische 55 
Datenstruktur (vgl. Fig. 3). 

Man unterscheidet von auSen (nach Erfullung der 
entsprechenden Sicherheitsstufe) zugreifbare Files so- 
wie nur durch karteninterne Mechanismen verwaltete 
Daten. Fiir letztere stehen Schreib- oder Leseoperatio- eo 
nen zur AuBenwelt nicht zur Verfiigung; es existieren 
lediglich spezielle, nur bei der Personaiisierung nutzba- 
re Einbring-Prozeduren. 

Jedem Datenspeicher sind gewisse Sicherheitsstufen 
fiir Schreiben und Lesen zugeordnet, die durch ErfuUen 65 
der entsprechenden Zugriffsbedingung erreicht werden. 
Zwischen "Zugriff immer" und "Zugriff nie" befinden 
sich die Stufen AdLevl (Produktion und Personalisie- 
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rung), AdLev2 (autorisiertes administratives Terminal, 
etwa X13) und die Benutzer-Niveaus PIN und PUK. 

Im Root-Directory befinden sich allgemeine. nicht 
Modacom-spezifische Informationen zur Karte und der 
enthaltenen Hardware. Sie werden bei der Produkdon 
bzw. bei der Personaiisierung (AdLevl) der Karte ein- 
gebracht und dienen danach der maschinenlesbaren 
Identifikation der Karte sowie einiger technischer Para- 
meter. Die Daten sind unveranderlich, jedoch ohne Zu- 
griffsschutz frei lesbar. 

— Die ICC-ID ist die international eindeudge, 
20-stellige Kartennummer, bestehend aus Lander- 
und Anwendungskennzahlen sowie der fortiaufen- 
den Seriennummer. 

— Die TIN (Technical Identification Number) lie- 
fert Informationen uber den verwendeten Prozess- 
ortyp, die ROM Maske, sowie die Software-Ver- 
sion. 

— Die Layout ID gibt dem lesenden Tool, z. B. 
Personalisierungssystem, eine Information iiber 
den Kartenkorper bezuglich Bedruck und Format 
Diese administrativen Daten werden zur Produk- 
tionssteuerung im Personalisierungssystem beno- 
tigt. 

Im Modacom Directory werden die anwendungsspe- 
zifischen Daten der Applikation Modacom bewahrt: 

— Das Datenfeld Service Information dient der 
Identifikation von Spezialkarten, etwa fiir den End- 
gerateservice. Modacom Terminals konnen bei Er- 
kennen einer solchen Karte spezielle Wartungs- 
funktionalitaten (Monitorfunktionen, Debug-Mo- 
de, etc.) aktivieren, die mit einer Normalkarte nicht 
zuganglich sein sollen. Die Service Information 
wird bei der Personaiisierung festgelegt und ist da- 
nach frei lesbar. 

— Im Feld LLI befindet sich unveranderlich perso- 
nalisiert die Teilnehmeridentitat, gleichzeitig die 
Rufnummer des Teiinehmers im Modacom Netz. 
Als funktionswichtiges Datum ist sie mit der Si- 
cherheitsstufe PIN geschiitzt. 

— Der Home Node, eine zur optimierten Vermitt- 
lung wichtige Information, ist ebenfalls PIN ge- 
schiitzt, jedoch bei Bedarf auch nach der Personaii- 
sierung unter AdLev2 iiberschreibbar. 

— Das Datenfeld Group ID enthalt durch PIN ge- 
schiitzt, und nur von autorisierter Stelle verander- 
bar, eine Liste von Kennungen, die den Teilnehmer 
bestimmten Benutzergruppen zuordnet 

— Die Liste der Allowed PLMN enthalt die vom 
Teilnehmer subskribierten Netze bei International 
Roaming. Nur fiir die hier enthaltenen Netzwerke 
besteht eine Teilnahmeberechtigung. 

— Die Tabelle Network Information enthalt fur 
das Endgerat wichtige Parameter der existierenden 
Modacom Netze, wie z,B. Listen der moglichen 
Kanale, erlaubte Sendeleistungen, etc. 

— Die ICC Service Tabelle informiert das Endgerat 
uber die in der Karte verfiigbaren Services und 
Informationen. Gesetzte Bits zeigen an. ob etwa die 
PIN abstellbar ist, oder ob Network- oder MT- 
Configuration- Information uberhaupt vorhanden 
und somit nutzbar sind. Wird bei der Personaiisie- 
rung der Karte (AdLevl) festgelegt. 

— Das Datenfeld MT Configuration enthalt grund- 
legende Hardware Konfigurationsdaten fur das 
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Mobile Terminal! (MT). Hier konnen z. B. Einstel- 
lungen fur Power Management oder Interface und 
Communication Modes auf der Karte abgefegt 
werden. Nach erfolgreicher PIN Priifung besteht 
freier Zugriff. 5 

Diese Aufzahlung ist nicht abschlieBend. Es konnen 
selbstverstandlich- noch andere Informationen zusatz- 
lich Oder alternativ auf der Karte 1 enthalten sein. 

Es existiert in der Karte t weiter eine Reihe von lo 
Datenfeldern, die intern verwaltet werden, d. h. ein 
Schreib- oder Lese-Zugriff iiber die Schnitlstelle ist un- 
moglich. Enthaltene Daten werden Qber spezielle Routi- 
nen initialisiert oder verandert. Dazu gehoren die Ge- 
heimschliissel der Karte, die entweder im Rahmen der 15 
Personalisierung verschliisselt in die Karte eingebracht 
werden (geheimer Authentifikationsschliissel Kp, Be- 
nutzercodes PIN und PUK), oder von ihr selbst gene- 
riert werden (Session Key Kr). 

Hinzu kommt die interne Datenstruktur Status, wel- 20 
che ailgemeine Informationen iiber den momentanen 
Zustand der Karte (z. B. PIN- und PUK-Stati, Clock- 
Stop erlaubt, etc.) enthalt. 

PIN- und PUK Management 25 

Die Modacom Chipkarte 1 verfiigt iiber eine 4- bis 
8-stellige Personal Identification Number (PIN), deren 
erfolgreiche Eingabe Voraussetzung zur Nutzung der 
Karte ist. Ein so erreichtes PIN-Recht bieibt bis zum 30 
Ende der aktuellen Kartensession, d. h. bis zum nachsten 
Power-Down oder Reset der Karte, erhaiten. 

Aus Sicherheitsgrunden ist die Anzahl der moglichen 
aufeinander folgenden Fehiprasentationen auf 3 be- 
schrankt; selbstverstandlich sind auch andere Siche- 35 
rungsmechanismen denkbar. Danach ist die PIN-Prii- 
fung gesperrt, Ein Entsperren ist mit dem 8-steIligen 
Personal Unblocking Key (PUK) moglich, welcher bei- 
spieisweise bis zu 10 Mai hintereinander falsch eingege- 
ben werden kann. Danach ist die Karte endgultig ge- 40 
sperrt. Die PIN ist in der Regel vom Benutzer anderbar, 
der PUK jedoch nicht. 

Die PIN-Priifung ist seitens des Benutzers abstellbar, 
wozu jedoch die Kenntnis der PIN erforderlich ist In 
diesem Falle sind Daten und Befehle der Karte so nutz- 45 
bar, als ware die PIN korrekt eingegeben worden. 

PIN und PUK werden bei der Personalisierung in die 
Karte eingebracht und gieichzeitig in verdeckter Form 
ausgedruckt. Der Ausdruck (PIN/PUK- Brief) wird dem 
Benutzer zusammen mit der Karte ausgehandigt. Die 
Personalisierung von Karten mit abgeschalteter PIN- 
Priifung ist moglich. 

Befehlssatz 

Der Befehlssatz der Modacom Chipkarte 1, d. h. die 
Menge der von der Karte ausfiihrbaren Kommandos 
orientiert sich an den von der Karte zu erfiillenden Auf- 
gaben: 

— Administrative Funktionen: Hler stehen Funk- 
tionen zur Authentifikation auf Produktions- und 
Personalisierungsebene, zum Laden der Applika- 
tionssoftware, zum verschliisselten Einbringen der 
Geheimschiissel, sowie verschiedene Priifroutinen 
zur Verfiigung. 

— PIN-/PUK-Management: Entsprechend den 
Anforderungen sind Kommandos zum Verifizieren, 
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Andern, Ab-ZAnstellen und Entsperren der PIN 
vorgesehen. Zur Ausfiihrung von Funktionen, wel- 
che die PIN oder ihren Zustand andern, wird die 
Prasentationder PIN vorausgesetzt. 

— Sicherheitsfunktionen: Hierunter fallen Mecha- 
nismen fur Authentifikation und Schiiisselaus- 
tausch sowie zur gesicherten Obertragung sensib- 
ler Daten (siehe Abschnitt 4). 

— Speicherfunktionen: Selektieren von Daten- 
strukturen, Lesen und Schreiben der Inhalte. Es 
werden sowohl eindimensionale als auch listenarti- 
ge Datenstrukturen unterstutzt. Eine Funktion zum 
Ermitteln des Kartenstatus ist ebenfalls vorhanden. 

Der vom Endgerat 2 initiierte Dialog mit der Chipkar- 
te 1 setzt sich aus einer grundsatzlich beiiebigen (jedoch 
durch anwendungstechnische Notwendigkeiten z.T. 
vorgegebenen) Aneinanderreihung der verfugbaren 
Funktionen zusammen. Die KontroiJe iiber die Chipkar- 
te 1 liegt damit jederzeit beim Endgerat 2, welches flexi- 
bel und wahlfrei auf die Karte zugreifen kann. Zu jedem 
empfangenen Kommando generiert die Karte eine 
Quittungsinformation, die dem Endgerat eine Informa- 
tion iiber den aktuellen Verarbeitungszustand anzeigt 
(z. B. Befehi erfolgreich beendet, PIN falsch, Komman- 
do unbekannt etc.) 

Sicherheitsfunktionen 

Die Einfiihrung der Chipcarte 1 in das Mobilfunksy- 
stem Modacom geschieht mit dem Ziel, das vorhandene 
Sicherheitsniveau nicht zu beeintraciitigen und nach 
Moglichkeit sogar zu steigern. 

Die Chipkarte 1 bedingt eine zusatziichenSchnittstel- 
ie, uber welche sensible Daten ubertragen werden. Die- 
se Chipkarte und damit die Schnittstelle ist mehr oder 
weniger frei zuganglich, und somit gegen Angriffe wie 
Abhoren, Verfalschen oder Vortauschen falscher Identi- 
taten prinzipiell nicht abzusichern. 

Um solche Angriffe nicht zum Erfolg kommen zu las- 
sen und somit entscheidende Sicherheit nicht zu verlie- 
ren, werden spezielle kryptografische Mechanismen 
vorgesehen, welche die nachweisbare Echtheit der 
iibertragenen Daten im Rahmen der Grundgute der 
verwendeten Verfahren (welche allerdings als sehr hoch 
einzuschatzen ist) sicherstellen. 

In gleicher Weise ist die Datensicherheit der Chipkar- 
te 1 nach heutigem Kenntnisstand als auBerst hoch an- 
zusehen. Die vorgesehene Kartentechnologie bietet ex- 
50 tremen Schutz gegen alle denkbaren physikalischen und 
logischen Angriffe auf Integritat und Vertraulichkeit der 
enthaltenen Daten. Die zur Anwendung in Modacom 
vorgeschlagene Klasse der Krypto-Prozessoren ist auf 
sicherheitskritische Anwendungen speziaiisiert und 
55 kann als Stand der Technik angesehen werden. 

Zu der angestrebten Sicherheit des Subsystems End- 
gerat 2 — Karte 1 gehort jedoch auch die Sicherheit der 
einmal gelesenen Kartendaten im Modacom Endgerat 
2. Die Anforderungen gegen Verfalschen oder Vortau- 
60 schen dieser Informationen, etwa durch Eingriff in das 
Endgerat, erfordern ebenfalls besondere Design-MaB- 
nahmen. 

Wichtig ist, daB auBerhalb des Terminals im System 
Modacom ggf. vorhandene Sicherheitsrisiken durch den 
65 Einsatz der Chipkarte 1 weder behoben noch kompen- 
siert werden. Setzt man eine ausreichende Sicherheit 
der Endgerate 2 voraus, so kann jedoch gegeniiber dem 
Zustand ohne Chipkarte 1 von einer spezifisch erhohten 
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Sicherheit gesprochen werden, denn: 

— Die Verwahrung der Daten in der Chipkarte ist 
allgemein sicherer als in der Hardware des Endge- 
rates. 5 

— Der verantwortliche Umgang mil sensiblen Da- 
ten liegt komplett beim Netzbetreiber. Prinzipieli 
mit Sicherheitsnachteilen behaftete Programmier- 
und Editierwerkzeuge existieren nicht mehr. 

— Durch (optionale) Verwendung der PIN-Prii- lo 
fung existiert ein Schutz des Teilnehmers gegen 
unerlaubte Benutzung oder Diebstahl der Karte 1 
allein oder des Endgerates 2 zusammen mit der 
Karte. 

15 

Im folgenden werden die zur Erreichung des ange- 
strebten Sicherheitsniveaus notwendigen Prozeduren 
eriautert. 

Authentifikation 20 

Die Chipkarte 1 muB in der Lage sein, ihre Echtheit 
(Authentizitat) jederzeit zweifelsfrei gegenuber dem 
Terminal/Endgerat 2 zu beweisen. Da die Programmie- 
rung der Endgerate mit individuellen Schiiisseln nicht in 25 
Betracht kommt, konnen hier nur asymmetrische Kryp- 
toverfahren angewendet werden, bei denen die Karten 
einen geheimen Schliissei Ks, die Endgerate jedoch ei- 
nen offentlichen Schiussel Kp tragen. Nur wenn Ks und 
Kp zusammenpassen, verlauft die Authentifikation er- 30 
folgreich. Es ist nicht moglich, vom offentlichen Schliis- 
sei auf den geheimen Schiussel zuriickzuschlieSen und 
so das Verfahren zu brechen. 

In der praktischen Realisierung wird das RSA-Ver- 
fahren (Schliissellange 512 bit) vorgeschiagen, welches 35 
als Standard in vergleichbaren Anforderungen anzuse- 
hen ist. 

Die Sicherheit grundet sich auf hierbei voUkommen 
auf die Vertrauiichkeit des geheimen Schlussels Ks, der 
in alien Modacom Chipkarten 1 enthalten ist Das heiBt, 40 
wird jemals — auf welche Weise auch immer — dieser 
Schiussel bekannt, so sind alle Karten in gleicher Weise 
betroffen. Um den Schaden in diesem theoretischen Fall 
zu begrenzen, werden Schliisselpaare Ks(i) und Kp(iX 
mit i = 1, 2, . . . , 10 vorgesehen, die gleichverteilt in die 45 
Chipkarten eingebracht werden. Als Schliisselindex i 
dient die letzte Stelle der Karten-Seriennummer (vor- 
letzte Stelle der ICC-ID), die gleichzeitig eine auBere 
Identifizierung des Schlusselindex ermoglicht. 

Damit weiterhin Endgerate 2 und Karten 1 beiiebig 50 
austauschbar sind, miissen Endgerate 2 alle 10 offentli- 
chen Schiussel kennen, von denen der passende anhand 
des Schlusselindex ausgewahlt wird. Durch diese MaB- 
nahme verringert sich das beschriebene Restrisiko bei 
Bekanntwerden eines Schlussels Ks auf 1/lOtel. 55 

Der gesamte Vorgang der Authentifikation gestaltet 
sich wie folgt (Fig. 4): 

Das Endgerat 2 liest die ICC-ID aus der Karte 1. An- 
hand der letzten Ziffer wird der Schlusselindex ermit- 
telt; Kp(i) steht somit fest. AnschlieBend generiert das eo 
Endgerat 2 eine Zufallszahl, welche im Rahmen des Au- 
thentifikations-Befehls zur Karte 1 ubertragen wird. Die 
Karte verschlusselt die ubergebene Zufallszahl mit ih- 
rem geheimen Schliissei Ks(i) zu X, und antwortet dies 
dem Endgerat. Hier wird mit Kp(i) zuruckentschlusselt 65 
und das Ergebnis mit der anfangs erzeugten Zufallszahl 
verglichen. Obereinstimmung beweist zusammenpas- 
sende Schliissei und damit die Echtheit der Karte. 
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Selbstverstandlich sind auch beliebige andere Verfah- 
ren einsetzbar. 

Sichere Datenubertragung durch MAC Bildung 

Die Authentifikation liefert einen Beweis uber die 
Echtheit der prasentierten Chipkarte 1, jedoch nicht 
uber die Echtheit der nachfolgend vom Endgerat 2 emp- 
fangenen Daten — diese konnten ja auf der Schnittstelle 
manipuliert worden sein. 

Zur Absicherung des Datentransfers wird ein Priif- 
summen-Verfahren venvendet, siehe Fig. 5, Die zu 
ubertragenden Daten werden von der Chipkarte 1 von 
einem Ein-Weg-Algorithmus (DES im Cipher Block 
Chaining Mode) mit dem geheimen Schliissei Kr ver- 
schliisseit. Das Ergebnis wird als Priifsumme (MAC, 
Message Authentifikation Codes zusammen mit den 
Daten zum Endgerat 2 ubertragen. Hier wird der Vor- 
gang wiederholt und durch MAC-Vergleich die Echtheit 
der Daten iiberpruft 

Der hierzu auf beiden Seiten notwendige Geheim- 
schliissel Kr wird in einer vorgeschalteten Prozedur 
vom Endgerat 2 erzeugt und der Karte 1 mitgeteilt, vgl. 
Fig. 6. Per Zufallsgenerator wird der Kr im Endgerat 
generiert und RSA-verschliisselt zur Karte iibertragen. 
Nach der Entschiiisselung steht der Schliissei Kr auf 
beiden Seiten zur Verfiigung, 

Der Schlusselaustausch wird in jeder Kartensession 
mindestens einmal, z. B. im Rahmen der Authentifika- 
tion, automatisch durchgefuhrt. Damit wird sicherge- 
stellt, daB nach jeder Kartenaktivierung -Einschalten 
des Endgerates. Karte stecken oder Reset) ein unvor- 
hersagbarer Schliissei zur Verfiigung steht. 

Die durch MAC abgesicherte Ubertragung wird fiir 
alle identifizierenden Chipkartendaten (LLI, Home No- 
de, Group ID) durchgefuhrt, welche naturgemaB gegen- 
iiber Verfalschung oder Vortauschung besonders zu 
schutzen sind. 

Sicherheitsrelevante Endgerateanforderungen 

Die beschriebenen Funktionalitaten setzen im Endge- 
rat 2 entsprechende Unterstiitzung voraus, d. h. es miis- 
sen Moglichkeiten zur Zufallszahlengenerierung und 
zur zeitgerechten RSA-Berechnung vorhanden sein. 
Die Anforderungen sind analog zu denen an die Chip- 
karte t. 

Der Zusammenspiel des Modacom Endgerates 2 mit 
den beschriebenen Sicherheitsfunktionen der Karte 1 
wird in der Praxis einer Kartensession etwa wie folgt 
ablaufen: 

(1) Die Kartenschnittstelle wird aktiviert und ein 
Power-on Reset durchgefiihrt Bei eingeschalteter 
PIN Priifung sind nur die in Fig. 3 als "immer les- 
bar'* gekennzeichneten Datenfelder zugreifbar. Das 
Endgerat 2 ermittelt den PIN Status und bittet die 
Applikation (den Benutzer) um Obergabe der PIN. 
Der Geheimcode wird an die Karte 1 ubergeben 
und die Verifikation durchgefuhrt Ist die PIN kor- 
rekt, wird das entsprechende Zugriffsrecht verge- 
ben. Bei ausgeschalteter PIN Priifung ist dieser Zu- 
stand automatisch nach dem Reset vorhanden. 

(2) Das Endgerat liest die ICC-ID und fuhrt die 
Authentifikation und den Schlusselaustausch wie 
beschrieben durch. Ist die Karte echt, befinden sich 
anschlieBend gleiche Sessionkeys Kr in Karte und 
Endgerat. 
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(3) Es kann nun auf alle PIN geschiitzten Informa- 
tionen wahlfrei zugegriffen werden. Die Erzeugung 
und Obertragung des MAC erfolgt bei sicherheits- 
kritischen Daten automatisch. 

5 

Es ist dabei vorausgesetzt, daB die Applikaiion im 
Endgerat sich entsprechend den Anforderungen verhalt, 
d. h, die notwendigen Schritte und Reihenfolgen auch 
durchfiihrt Bei sicherheitskritischen Abweichungen, 
z. B. unterlassene PIN-Priifung, wird die Karte ihre lo 
Funktion sperren — zumindest sind aber die von ihr 
erhaltenen Daten ungOltig. 

Es lassen sich einige weitere sicherheitsrelevante Be- 
dingungen an das Modacom Endgerat 2 formulieren: 

15 

— Es darf keine nicht-fluchtige Speicherung von 
Kartendaten erfolgen, d. h. nach Ausschaiten oder 
Reset des Terminals diirfen diese im Endgerat nicht 
mehr voriianden sein. 

— Die Entnahme der Chipkarte wahrend des Be- 20 
triebs ist sicher zu erkennen und muB zum Abbruch 
einer bestehenden Verbindung und zum Loschen 
aller Kartendaten aus den Speichern des Endgera- 
tes fiihren. Eine geeignete Moglichkeit dazu ware 
etwa eine zykJisch durchgefuhrte Authentifikation. 25 

— Die Obertragungswege identifizierender Kar- 
tendaten sind innerhaib des Endgerates gegen Ver- 
falschung und Vortauschung ausreichend abzusi- 
chern. 

— Das Endgerat muB der Applikation eine Schnitt- 30 
stelle zur Obertragung der PIN-Funktionen bereit- 
steilen. (Die Nutzung ist fiir die Applikation optio- 
nal, wenn die PIN-Priifung in der Kane abgestellt 
ist) 

35 

Fazit 

Das voriiegende Dokument liefert eine realistische 
Moglichkeit zur Einfuhrung einer Chipkarte in das Mo- 
bilfunksystem Modacom. Die technische Losung er- 40 
reicht die angestrebten Vorteile sicher. Durch weitest- 
gehende Berucksichtigung bereits vorhandener Kon- 
zepte und Verfahrensweisen sowie durch die Verwen- 
dung internationaler Standards werden technische Risi- 
ken ausgeschlossen. Das Ergebnis ist eine Chipkarten- 45 
applikation, welche dem mobilen Datenfunk entschei- 
dende neue Impulse geben kann. 

Patentanspruche 

50 

1. Verfahren zur Nutzeridentifikation und -authen- 
tifikation bei Datenfunk-Verbindungen, dadiirch 
gekeimzeichnet, daB die zur Nutzeridentifikation 
erforderlichen Daten auf einem gesonderten Da- 
tentrager (1) getrennt von einem Endgerat (2) ab- 55 
gelegt werden. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB die Nutzeridentifikation und -authen- 
tifikation durch Kommunikation zwischen Daten- 
trager (1) und Endgerat (2) durchgefiihrt wird. eo 

3. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB die Nutzeridentifikation und -authen- 
tifikation durch Kommunikation zwischen Daten- 
trager (1) und einer endger^tunabhangigen Appli- 
kation (3) durchgefiihrt wird. 65 

4. Verfahren nach einem der vorhergehenden An- 
spruche dadurch gekennzeichnet, daB bei der Ver- 
standigung zwischen Datentrager (1) und Endgerat 



(2) bzw. Datentrager (1) und Applikation (3) minde- 
stens ein kryptographisches Verfahren zur Daten- 
verschliisselung eingesetzt wird. 

5. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB die auf dem 
Datentrager (1) enthaltenen Daten in von Benutzer 
anderbare, lesbare und nicht-lesbare Daten einge- 
teilt werden. 

6. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB die auf dem 
Datentrager (1) enthaltenen Daten iiber minde- 
stens einen vom Benutzer einzugebenden Code ge- 
sichert werden. 

7. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB die Nutzer- 
identifikation und -authentifikation bei langerem 
Datenaustausch oder physischem Kontakt zwi- 
schen Datentrager (1) und Endgerat (2) in bestimm- 
ten Zeitabstanden wiederholt wird. 

8. Verfahren nach einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, daB bei einer 
Entnahme des Datentragers (1) aus dem Endgerat 
(2) wahrend des Betriebs eine bestehende Verbin- 
dung abgebrochen wird. 

9. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daB die von dem 
Datentrager (1) erhaltenen Daten im Endgerat (2) 
sowie gegebenenfalls von der Applikation (3) nur 
fliichtig gespeichert werden. 

10. Datentrager zur Durchfiihrung des Verfahrens 
nach einem der vorhergehenden Ansprliche, da- 
durch gekennzeichnet, daB der Datentrager als 
Chipkarte (1) ausgebildet ist. 

11. Datentrager nach Anspruch 10, dadurch ge- 
kennzeichnet, daB der Datentrager (1) einen Mi- 
kro-Controller und einen EEPROM-Speicher auf- 
weist. 

12. Datentrager nach Anspruch 11, dadurch ge- 
kennzeichnet, daB der Datentrager (1) einen vom 
Benutzer frei belegbaren Speicherabschnitt auf- 
weist. 

13. Endgerat zur Durchfiihrung des Verfahrens 
nach einem der Anspriiche 1—7, dadurch gekenn- 
zeichnet, daB die im Endgerat (2) vorhandenen 
Obertragungswege fiir die nutzerspezifischen Da- 
ten abgesichert sind. 

14. Endgerat nach Anspruch 13, dadurch gekenn- 
zeichnet, daB das Endgerat (2) mit fliichtigen und 
nicht-fliichtigen Speicherplatze versehen ist. 



Hierzu 3 Seite(n) Zeichnungen 



2EICHNUNGEN SEITE 1 



Nummer: 
Int. CL^: 

Offenlegungstag: 



DE 195 27 715 Al 
H04L 9/32 

6. Februar 1997 




25 



3i' 



86 



■ ■•^^ MbbiiNet 



■■'^t'Z,: ... ■ 



54 



Fig. 2 



602066/47 



2EICHNUNGEN SEITE 2 



Nummer: 
Int. Cl.^: 

Offenlegungstag: 



DE 195 27 715 A1 
H04L 9/32 

6. Februar 1997 



Datenstruktur 



lesen 



schreiben 



von auBen zugreifbar 



Root 



— m icc-iD 

TIN 



— [g Layout ID 
l" I Modacom 

— [S] Service Information 

Home Node 
Group ID 
Allowed PLMN 
Network Information 
ICC Service Table 
MT Configuration 



intern verwaltet 



m Secret Key Ks 



H Session Key Kr 



^ Secret Keys PIN + PUK 
Ul Status 

Fig. 3 



immer 
immer 
immer 

immer 
PIN 
PIN 
PIN 
PIN 
PIN 
PIN 
PIN 



nie 
nie 
nie 
nie 



AdLevI 
AdLevI 
AdLevI 

AdLevI 
AdLevI 
AdLevI /2 
AdLevI /2 
AdLevI /2 
AdLevI /2 
AdLevI 
PIN 



nie 
nie 
nie 
nie 



602 066/47 



ZEICHNUNGEN SEITE 3 Nummer: DE 195 27 715 Al 

Int. CI.6: H04L 9/32 

Offenlegungstag: 6. Februar 1997 



Chipkarte 



ICCID 



X := RSA(Ks(l), RAND) 



: . " - : Endgerat 
i := letzte Stelle (ICCID) : y 



RAND^:= RSA (Kp(OiX) 
FlIANp* =f RAND : OKI^; 
RAND' # RAND : Abbruchl 



Fig. 4 



Chipkarte 



MAC := DES(Kr, data) 
data, MAC 



Endgerat 



MAC*^= DES(Kr, data)y 
MAC! = MACvfdata; CiW 
MACi^# MAC i Abbruchl ' 



Fig. 5 



Chipkarte 



: Kr' := RSA(Ks(l), Z) 
Kr := Kr' 

Fig. 6 







Kf :=.RAND|Jr 


Endgerat 




zBrsaTkp(I)* 










* "-<Y'.'^v^ft^ -v-e."- -'"'^^£>"'• 




.-■.;Av•"--• •^'■'■TrT<- 





602 066/47 



